Système de Gestion Intégrée de la Dépense
Assistance des utilisateurs
Guide de la sécurité sur le système GID
Consulter une version html ici- > | |
Commenter ce guide utilisateur ici -> |
Sommaire |
La sécurité du système GID se renforce par le déploiement du mécanisme d’authentification supplémentaire par certificat électronique. Avec la généralisation de l’authentification par certificat SSL à tous les utilisateurs du système GID, un nouveau jalon de la politique de sécurité adoptée sera franchi au 1er juillet 2010.
Ce jalon consiste en l’obligation d’utiliser un certificat SSL qui correspond à une clé numérique, stockée dans un fichier électronique, directement téléchargeable depuis le site GID. Ce certificat est considéré par le système comme une carte d’identité numérique qui est délivrée à titre individuel à chaque utilisateur de façon à vérifier son identité en corrélation avec son login. L'objectif est d'assurer une authentification forte : une authentification par Login/mot de passe (identifiant l’utilisateur en tant que personne) couplée à une authentification par certificat SSL (authentifiant le poste utilisateur).
L'utilisation de l’authentification par certificat SSL devient obligatoire pour tous les utilisateurs du système GID à partir de fin juin 2010. Aussi, les référents GID au niveau de tout le réseau de la trésorerie générale du royaume se mobilisent pour réussir cette mission de déploiement du certificat SSL en accompagnant les utilisateurs dans la procédure d'installation de ce certificat.
Le certificat SSL est renouvelé tous les ans avec un message d’avertissement qui s’affiche préalablement sur le système au moment de la connexion pour avertir de son expiration imminente et de la nécessité de son renouvellement.
La sécurité du système GID constituant une exigence stratégique, la définition d’une politique de sécurité et la mise en place des jalons définis a donc constitué un des chantiers prioritaires ayant démarré en concomitance avec le démarrage des travaux de développement du système GID. Conscient des enjeux de sécurité inhérent à la mise en place d’un système de gestion de l’exécution du budget de l’Etat, et en accompagnement aux actions de dématérialisation des procédures et actes de la dépense publique, des jalons ont été définis pour opérationnaliser la mise en place de la politique de sécurité adoptée.
La politique de sécurité adoptée pour le système GID permet d'assurer une protection optimale sur les axes de disponibilité, d'intégrité, de confidentialité et de traçabilité. Les premiers jalons de sécurité concernent la mise en place de l’ensemble des moyens permettant de :
A l’instar des règles de sécurité permettant de garantir la confidentialité du login et mot de passe, les mêmes règles doivent être respectées pour préserver la confidentialité du code SSL (voir encadré en rappel).
Par ailleurs, des audits de sécurité sont programmés à intervalle régulier de façon à certifier la sécurité du Système d’information GID en se basant sur les bonnes pratiques de sécurité et le référentiel ISO 27001.
Le Certificat SSL est personnel et confidentiel
L'authentification par certificat SSL (Secure Sockets Layer) est une authentification utilisant les moyens cryptographiques, c'est-à-dire une « clé numérique » dans une « serrure numérique ». C'est un procédé de sécurisation des transactions effectuées sur le système GID. Le fichier certificat SSL d'un utilisateur est personnel et confidentiel. Il est associé à son compte utilisateur GID. Chaque fois qu'un utilisateur change de poste de travail, il doit réinstaller le certificat SSL afin que le serveur du système GID puisse identifier l'ordinateur utilisé. Les règles de sécurité à respecter sont:
PS : Le code du certificat SSL est un « code confidentiel» qui est remis à l'utilisateur par courrier fermé. Ce code permet d'installer le certificat SSL dont la procédure d'installation est téléchargeable à partir du système GID rubrique "Profil". |